Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kulingana na docs: GuardDuty inachanganya ujifunzaji wa mashine, kugundua tofauti, ufuatiliaji wa mtandao, na kugundua faili zenye uharibifu, ikitumia vyanzo vya AWS na vya tatu vinavyoongoza katika tasnia kusaidia kulinda kazi na data kwenye AWS. GuardDuty ina uwezo wa kuchambua matukio mabilioni kadhaa katika vyanzo vingi vya data vya AWS, kama vile kumbukumbu za matukio ya AWS CloudTrail, Kumbukumbu za Mtiririko wa Amazon Virtual Private Cloud (VPC), kumbukumbu za ukaguzi na za mfumo wa Amazon Elastic Kubernetes Service (EKS), na kumbukumbu za maswali ya DNS.
Amazon GuardDuty inafichua shughuli zisizo za kawaida ndani ya akaunti zako, inachambua umuhimu wa usalama wa shughuli hiyo, na inatoa muktadha ambao ilitokea. Hii inaruhusu mrespondaji kuamua ikiwa wanapaswa kutumia muda katika uchunguzi zaidi.
Alerts zinaonekana kwenye console ya GuardDuty (siku 90) na Matukio ya CloudWatch.
Wakati mtumiaji anapozuia GuardDuty, itasimamisha ufuatiliaji wa mazingira yako ya AWS na haitazalisha matokeo mapya kabisa, na matokeo yaliyopo yatapotea. Ikiwa unaisimamisha tu, matokeo yaliyopo yatabaki.
Upelelezi: Shughuli inayopendekeza upelelezi na mshambuliaji, kama vile shughuli zisizo za kawaida za API, majaribio ya kuingia kwenye hifadhidata, skanning ya bandari ndani ya VPC, mifumo isiyo ya kawaida ya maombi ya kuingia yaliyoshindwa, au uchunguzi wa bandari usiozuiliwa kutoka kwa IP mbaya inayojulikana.
Kuvunjwa kwa mfano: Shughuli inayoashiria kuvunjwa kwa mfano, kama vile uchimbaji wa sarafu, shughuli za amri na udhibiti wa nyuma (C&C), malware inayotumia algorithimu za kizazi cha kikoa (DGA), shughuli za kukataa huduma za nje, kiasi cha juu cha mtandao wa kawaida, protokali zisizo za kawaida za mtandao, mawasiliano ya mfano wa nje na IP mbaya inayojulikana, akidi za muda za Amazon EC2 zinazotumiwa na anwani ya IP ya nje, na uhamasishaji wa data kwa kutumia DNS.
Kuvunjwa kwa akaunti: Mifumo ya kawaida inayoweza kuashiria kuvunjwa kwa akaunti ni pamoja na simu za API kutoka eneo la kijiografia lisilo la kawaida au proxy ya kuficha, majaribio ya kuzima kumbukumbu za AWS CloudTrail, mabadiliko yanayodhoofisha sera ya nywila ya akaunti, uzinduzi wa mfano au miundombinu isiyo ya kawaida, uanzishaji wa miundombinu katika eneo lisilo la kawaida, wizi wa akidi, shughuli za kuingia kwenye hifadhidata zisizo za kawaida, na simu za API kutoka kwa anwani za IP mbaya zinazojulikana.
Kuvunjwa kwa ndoo: Shughuli inayoashiria kuvunjwa kwa ndoo, kama vile mifumo ya ufikiaji wa data isiyo ya kawaida inayoashiria matumizi mabaya ya akidi, shughuli zisizo za kawaida za Amazon S3 API kutoka kwa mwenyeji wa mbali, ufikiaji usioidhinishwa wa S3 kutoka kwa anwani za IP mbaya zinazojulikana, na simu za API za kupata data katika ndoo za S3 kutoka kwa mtumiaji ambaye hana historia ya awali ya kufikia ndoo hiyo au ilizinduliwa kutoka eneo lisilo la kawaida. Amazon GuardDuty inaendelea kufuatilia na kuchambua matukio ya data ya AWS CloudTrail S3 (mfano: GetObject, ListObjects, DeleteObject) ili kugundua shughuli zisizo za kawaida katika ndoo zako zote za Amazon S3.
Fikia orodha ya matokeo yote ya GuardDuty katika: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html
Unaweza kualika akaunti nyingine kwenye akaunti tofauti ya AWS GuardDuty ili akaunti zote zifuatiliwe kutoka GuardDuty moja. Akaunti ya mkuu lazima iwalike akaunti za wanachama na kisha mwakilishi wa akaunti ya mwanachama lazima akubali mwaliko.
Unaweza kuteua akaunti yoyote ndani ya shirika kuwa msimamizi wa GuardDuty. Ni akaunti ya usimamizi wa shirika pekee inayoweza kuteua msimamizi wa kuteuliwa.
Akaunti inayoteuliwa kama msimamizi wa kuteuliwa inakuwa akaunti ya msimamizi wa GuardDuty, ina GuardDuty iliyoanzishwa kiotomatiki katika Eneo lililotengwa la AWS, na pia ina idhini ya kuanzisha na kusimamia GuardDuty kwa akaunti zote ndani ya shirika katika eneo hilo. Akaunti nyingine ndani ya shirika zinaweza kuonekana na kuongezwa kama akaunti za wanachama wa GuardDuty zinazohusishwa na akaunti hii ya msimamizi wa kuteuliwa.
Jaribu kujua kadri ya uwezo kuhusu tabia ya ithibati unayotaka kutumia:
Nyakati inapotumika
Mahali
Wakala wa Mtumiaji / Huduma (Inaweza kutumika kutoka awscli, webconsole, lambda...)
Ruhusa zinazotumika mara kwa mara
Kwa habari hii, tengeneza kadri ya uwezo hali sawa ili kutumia ufikiaji:
Ikiwa ni mtumiaji au jukumu linalofikiwa na mtumiaji, jaribu kulitumika katika masaa sawa, kutoka eneo moja la kijiografia (hata ISP na IP sawa ikiwa inawezekana)
Ikiwa ni jukumu linalotumika na huduma, tengeneza huduma hiyo hiyo katika eneo moja na uitumie kutoka hapo katika muda sawa
Daima jaribu kutumia ruhusa sawa ambazo kiongozi huyu ametumia
Ikiwa unahitaji kutumia ruhusa nyingine au kutumia ruhusa (kwa mfano, kupakua faili 1.000.000 za cloudtrail log) fanya hivyo polepole na kwa idadi ndogo ya mwingiliano na AWS (awscli wakati mwingine inaita APIs kadhaa za kusoma kabla ya ile ya kuandika)
guardduty:UpdateDetectorKwa ruhusa hii unaweza kuzima GuardDuty ili kuepuka kuanzisha arifa.
guardduty:CreateFilterWashambuliaji wenye ruhusa hii wana uwezo wa kutumia vichujio kwa ajili ya kuhifadhi matokeo kiotomatiki:
iam:PutRolePolicy, (guardduty:CreateIPSet|guardduty:UpdateIPSet)Wavamizi wenye ruhusa za awali wanaweza kubadilisha Orodha ya IP za Kuaminika ya GuardDuty kwa kuongeza anwani yao ya IP na kuepuka kuzalisha arifa.
guardduty:DeletePublishingDestinationWashambuliaji wanaweza kuondoa eneo la kuchapisha ili kuzuia arifa:
Kufuta eneo hili la kuchapisha hakutakuwa na athari kwa uzalishaji au mwonekano wa matokeo ndani ya konsoli ya GuardDuty. GuardDuty itaendelea kuchambua matukio katika mazingira yako ya AWS, kubaini tabia za kushangaza au zisizotarajiwa, na kuzalisha matokeo.
Kumbuka kuwa kuna matokeo kumi za GuardDuty, hata hivyo, kama Red Teamer si yote yatakayoathiri wewe, na bora zaidi, una nyaraka kamili za kila moja yao katika https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html hivyo angalia kabla ya kuchukua hatua yoyote ili usikamatwe.
Hapa kuna mifano kadhaa ya kupita matokeo maalum ya GuardDuty:
GuardDuty inagundua maombi ya API ya AWS kutoka kwa zana za kawaida za kupenya na kuanzisha PenTest Finding. Inagunduliwa na jina la wakala wa mtumiaji ambalo linapitishwa katika ombi la API. Hivyo, kubadilisha wakala wa mtumiaji inawezekana kuzuia GuardDuty kugundua shambulio.
Ili kuzuia hili unaweza kutafuta kutoka kwa script session.py katika pakiti ya botocore na kubadilisha wakala wa mtumiaji, au kuweka Burp Suite kama proxy ya AWS CLI na kubadilisha wakala wa mtumiaji kwa MitM au tumia OS kama Ubuntu, Mac au Windows itazuia arifa hii kutokea.
Kutoa akreditivu za EC2 kutoka kwa huduma ya metadata na kuzitumia nje ya mazingira ya AWS kunasababisha arifa ya UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Kinyume chake, kutumia akreditivu hizi kutoka kwa mfano wako wa EC2 kunasababisha arifa ya UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Hata hivyo, kutumia akreditivu kwenye mfano mwingine wa EC2 ulioathiriwa ndani ya akaunti hiyo hiyo hakugunduliwi, hakusababisha arifa yoyote.
Hivyo, tumia akreditivu zilizopatikana kutoka ndani ya mashine ambapo ulizipata ili usisababisha arifa hii.
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
